E-Privacy Verordnung: Entwurf geht in die finale Verhandlungsrunde
Co-Autorin: Mag. Sabine Brunner, LLB.oec.
Entwurf geht in die finale Verhandlungsrunde
Die datenschutzrechtlichen Agenden des Europäischen Gesetzgebers gehen in die nächste Runde: Mit 318 zu 280 Stimmen, also denkbar knapp, hat das Europäische Parlament am 26. Oktober 2017 die E-Privacy Verordnung verabschiedet.
Diese Verordnung betritt zwar einerseits neues Terrain, andererseits war ihr Weg bereits durch die bisher geltende E-Privacy-Richtlinie (aus dem Jahr 2002) und die Cookie-Richtlinie (aus dem Jahr 2009) vorgezeichnet.
Mit dem Wirksamwerden der neuen Datenschutz-Grundverordnung (DSGVO) sollen aber nunmehr auch die Vorschriften zur elektronischen Kommunikation mit der E-Privacy Verordnung auf neue Beine gestellt werden. Die DSGVO gilt ab 25. Mai 2018 – bis dahin soll, den Plänen des europäischen Gesetzgebers folgend, auch die E-Privacy Verordnung ausverhandelt worden sein. Das ist einerseits zu begrüßen, da ein Gleichklang zwischen DSGVO und E-Privacy Verordnung einschränkungslos zu begrüßen ist. Andererseits: Die durch die E-Privacy Verordnung verpflichteten Personen, in der Praxis fast ausschließlich Unternehmen, müssen sich auch auf die neuen Anforderungen einstellen. Da erweist sich das seitens des europäischen Gesetzgebers in Anspruch genommene Zeitfenster als äußerst knapp. Leider.
Die wichtigsten Regelungen im Überblick
Die E-Privacy-Verordnung soll an das Regelwerk der DSGVO anknüpfen und speziell im Bereich der elektronischen Kommunikation Ergänzungen liefern. Darunter fallen unter anderem folgende Punkte:
1. Schwierigere Bedingungen für Cookie-Verwendung
Wie auch in der DSGVO, spielt die Zustimmung des Nutzers in der E-Privacy Verordnung eine wesentliche Rolle. Unternehmen soll es künftig nicht mehr erlaubt sein, Daten ohne die Einwilligung des Nutzers für kommerzielle Zwecke weiterzuverarbeiten. Für das künftige Setzen eines Cookies (oder vergleichbarer Identifikatoren) braucht es das ausdrückliche Einverständnis des Nutzers. Parallel dazu gestattet die E-Privacy Verordnung jedoch auch auch die Verwendung von Cookies ohne eine solche Einwilligung – wenn sie bspw technisch erforderlich sind (z.B. beim Warenkorb im Webshop).
Sogenannte „Cookie-Walls“ – also Voreinstellungen, die ohne das Akzeptieren von Cookies nur eine eingeschränkte bzw. keine Nutzung der Webseite zulassen – sollen nunmehr verboten werden.
2. Benutzerfreundliche Voreinstellungen in Browsern
Künftig sollen Nutzer in ihren Browser-Einstellungen die Zustimmung bzw. Ablehnung zu Cookies erteilen können – nicht wie bisher über das Klicken auf ein Banner. Darüber hinaus sollen Browser bereits in den Werkeinstellungen im Sinne des „Privacy-by-default“-Prinzips datenschutzfreundlich ausgestaltet werden.
3. Sichere Verschlüsselung elektronischer Kommunikationsdienste
Anbieter elektronischer Kommunikationsdienste, wie WhatsApp oder Skype, sollen künftig entsprechende Schutzmaßnahmen gegen unberechtigte Zugriffe sicherstellen, unter anderem durch eine „End-to-End“-Verschlüsselung der elektronischen Kommunikationsdaten. Des Weiteren soll es den Mitgliedstaaten nicht erlaubt sein, den Anbietern elektronischer Kommunikationsdienste oder Software-Herstellern Verpflichtungen aufzuerlegen, welche die Sicherheit der Netzwerke, Dienste oder der Endeinrichtungen schwächen würden.
4. „Cold Calling“
Die E-Privacy Verordnung soll auch die Zulässigkeit von Direktwerbeanrufen regeln, wobei sich nach derzeitigem Stand in diesem Bereich keine wesentlichen Änderungen zur bisherigen Rechtslage ergeben werden.
Weitere Schritte im Gesetzgebungsprozess
Da die E-Privacy Verordnung „bereits“ Mitte Mai nächsten Jahres ausverhandelt sein soll, geht sie nunmehr direkt in den Trilog mit der EU-Kommission und Vertretern der Mitgliedstaaten im Ministerrat. Nachdem die Verordnung schon bisher hart umstritten war, ist jedoch davon auszugehen, dass sich durchaus noch substanzielle Änderungen im Verordnungstext ergeben können.
Wie PwC Legal unterstützen kann
Unsere Rechtsanwälte und Experten verfügen über langjährige Erfahrung im Bereich des Datenschutzrechts und unterstützen Sie in folgenden Bereichen:
- Begutachtung der rechtmäßigen Verarbeitung von Daten
- Gestaltung von Verträgen zur Datennutzung und zur Auftragsverarbeitung
- Erstellung von rechtskonformen Datenschutz- und Zustimmungserklärungen („Privacy Policy“; „Cookie Policy“)
- Begleitung bei der arbeitsrechtlichen Implementierung (Richtlinien für Mitarbeiter, Betriebsratsvereinbarungen etc.)
- Möglichkeit zur Stellung eines externen Datenschutzbeauftragten